Angrep på Okendo-anmeldelseswidget: Slik infiserte SmartApeSG 18.000+ nettbutikker

Tekniske mekanismer bak den ondsinnede JavaScript-koden

Den injiserte koden fungerte som en trinnvis laster med flere lag med omgåelse og målretting . I stedet for å slippe løs skadevare umiddelbart, utførte den først miljøkontroller for å unngå oppdagelse og sikre at offeret var et egnet mål:

• Sporing via localStorage — Ved første besøk satte scriptet et tidsstempel i nettleserens localStorage. Dette forhindret gjentatt utførelse for samme bruker, noe som reduserte støy og senket sannsynligheten for å utløse sikkerhetsvarsler under rutinetesting .
• User-Agent-filtrering (mobil-ekskludering) — Scriptet sjekket den besøkendes User-Agent-streng for å ignorere mobilnettlesere og kun målrette stasjonære datamaskiner. Senere smittestadier var avhengige av Windows-spesifikke interaksjoner, så mobile ofre ble fullstendig forbigått .
• XOR-obfuskering — Lasteren rekonstruerte dynamisk sin neste-trinns kommando-og-kontroll (C2)-URL ved å dekode XOR-obfuskerte strengfragmenter under kjøring, og omgikk dermed grunnleggende signaturbasert deteksjon .
• Dynamisk scriptinjeksjon — Etter å ha rekonstruert den skjulte C2-URL-en, injiserte koden et nytt <script>-element på siden for å hente videre nyttelast .
• Falsk CAPTCHA / ClickFix sosial manipulering — Ofre som besto alle kontrollene, fikk opp en falsk «bekreft at du er menneske»-side utformet som ClickFix. Meldingen ba brukerne åpne Kjør-dialogboksen i Windows og lime inn en kommando som stille var blitt kopiert til utklippstavlen deres .

ClickFix – den sosiale manipuleringslokkingen

ClickFix er en sosial manipulasjonsteknikk der et ondsinnet script kopierer en kommando til brukerens utklippstavle, og deretter viser instruksjoner som ber dem lime inn og kjøre den – vanligvis ved å trykke Win + R, lime inn og trykke Enter. Kommandoen er forkledd som et bekreftelsestrinn. I dette angrepet ble ClickFix-lokkingen innebygd i en falsk CAPTCHA-side generert av den kompromitterte widgeten . Hvis en bruker fulgte instruksjonene, utløste den innlimte kommandoen et PowerShell-script eller en HTML-applikasjonsfil (HTA) som deretter lastet ned og installerte skadevaren .

Levering av nyttelast: RAT-er og informasjonsstjeler

Når ClickFix-lokkingen ble utført, leverte smittekjeden én eller flere av følgende nyttelaster :

• NetSupport RAT — En ekstern tilgangstrojaner som gir angripere vedvarende fjernkontroll over den infiserte maskinen.
• Remcos RAT — En ekstern tilgangstrojaner med muligheter for tastetrykkslogging, overvåking og stjeling av legitimasjon.
• StealC — En informasjonsstjeler rettet mot passord og økonomisk legitimasjon.
• Sectop RAT — En ekstern tilgangstrojaner som brukes til spionasje.
• DeerStealer — En informasjonsstjeler observert i tidligere SmartApeSG ClickFix-varianter .

Omfanget av bruddet

• Over 18.000 netthandelsmerkevarer brukte den kompromitterte Okendo-widgeten, noe som eksponerte en massiv nedstrøms angrepsoverflate .
• Berørte nettsteder spente fra mellomstore nettbutikker til store amerikanske forhandlere, med trafikkanslag på 150.000 til flere millioner månedlige besøkende per nettsted. Én berørt amerikansk forhandler alene har rundt 7 millioner besøkende per måned .
• Kun 14. mai 2026 registrerte Zsclalers skyplattform nærmere 15.000 blokkeringer knyttet til SmartApeSG-aktivitet – den høyeste daglige mengden noensinne sett for denne trusselaktøren .

SmartApeSG sin tidligere skadevarehistorie

SmartApeSG er ikke en ny aktør. Gruppen har en dokumentert historie med å kjøre ClickFix-kampanjer siden midten av 2024 og har levert NetSupport RAT, Remcos RAT, StealC og Sectop RAT i flere tidligere operasjoner . Tidligere kampanjer brukte kompromitterte nettsteder med falske CAPTCHA-sider for å lure brukere til å lime inn og kjøre ondsinnede kommandoer via Kjør-dialogboksen i Windows . Gruppen har også blitt observert i å distribuere DeerStealer-informasjonsstjeleren i tidligere ClickFix-varianter . Okendo-angrepet representerer en eskalering: I stedet for å infisere individuelle nettsteder, kompromitterte SmartApeSG en mye brukt tredjeparts-widget for å nå tusenvis av nettsteder samtidig – en klassisk forsyningskjedeforsterker .

Utbedringstiltak som ble iverksatt

• Zscaler ThreatLabz rapporterte hendelsen direkte til Okendo den 14. mai 2026 .
• Okendo bekreftet at de var klar over hendelsen og gjenopprettet den berørte widgeten til en ren tilstand, og fjernet dermed den ondsinnede koden fra sirkulasjon .
• Zscaler distribuerte deteksjonssignaturer under trusselnavnet JS.Injection.SmartApeSG for å spore og blokkere injeksjonsaktiviteten .
• Indikatorer på kompromittering (IoC-er) publisert av forskere inkluderer den kompromitterte widget-URL-en (

  hxxp://cdn-static[.]okendo[.]io/reviews-widget-plus/js/okendo-reviews[.]js

  ) og SmartApeSG C2-infrastrukturdomener som api[.]wigetticks[.]com og api[.]wizzleticks[.]com .